EU AI Act: Las primeras multas por incumplimiento alcanzan €50M

Las primeras sanciones llegan

La Oficina de Inteligencia Artificial de la Unión Europea (EU AI Office), creada para supervisar la aplicación del Reglamento de Inteligencia Artificial (EU AI Act), ha impuesto esta semana las primeras multas formales por incumplimiento de la normativa. Las sanciones afectan a tres empresas de distintos sectores y ascienden a un total de 50 millones de euros, marcando el inicio de la era de enforcement del AI Act.

El EU AI Act, aprobado en agosto de 2024 y con aplicación progresiva, establece obligaciones diferenciadas según el nivel de riesgo de los sistemas de IA. Los sistemas de riesgo inaceptable (como scoring social o manipulación subliminal) están prohibidos. Los de alto riesgo —en sectores como salud, justicia, empleo y infraestructuras críticas— deben cumplir requisitos estrictos de transparencia, documentación, supervisión humana y registro ante las autoridades competentes.

Los tres casos sancionados

Caso 1 - Empresa de RRHH (€22M): Una empresa de recursos humanos con operaciones en Alemania, Francia y España utilizaba un sistema de IA para preseleccionar candidatos para puestos de trabajo. El sistema tomaba decisiones automatizadas sin supervisión humana significativa y sin notificar a los candidatos que estaban siendo evaluados por un sistema de IA. La empresa no había completado la evaluación de conformidad requerida para sistemas de alto riesgo en el ámbito del empleo, ni había registrado el sistema en la base de datos de la UE. La multa asciende a 22 millones de euros, aproximadamente el 3.5% de su facturación anual global.

Caso 2 - Proveedor de salud (€18M): Un proveedor de servicios de diagnóstico médico desplegó un sistema de apoyo a la decisión clínica para triaje de urgencias en varios hospitales europeos sin completar la evaluación clínica requerida por el AI Act para dispositivos médicos de IA. La ausencia de documentación técnica completa, registros de entrenamiento del modelo y procedimientos de gestión de riesgos llevó a una sanción de 18 millones de euros.

Caso 3 - Fintech (€10M): Una empresa fintech usaba modelos de scoring crediticio con características prohibidas implícitamente correlacionadas con el origen étnico y la situación familiar, en violación tanto del AI Act como del Reglamento General de Protección de Datos. La multa de 10 millones de euros viene acompañada de un mandato de auditoría independiente y corrección del sistema en 90 días.

Reacciones del sector

Las multas, aunque significativas, están por debajo del máximo previsto en el AI Act, que permite sanciones de hasta el 6% de la facturación global para infracciones graves. La EU AI Office ha señalado que la moderación de las primeras sanciones refleja la voluntad de dar un "período de adaptación" al sector, pero advierte que las próximas sanciones no serán tan contenidas.

Asociaciones empresariales como BusinessEurope y la Federación Española de Empresas de Tecnología han pedido mayor claridad en las guías de cumplimiento, argumentando que la regulación es ambigua en muchos puntos. La EU AI Office ha comprometido publicar guías técnicas adicionales en el segundo trimestre de 2026.

Implicaciones para las empresas en España

El AI Act se aplica a cualquier empresa que despliegue sistemas de IA que afecten a personas en la UE, independientemente de dónde esté la empresa. Para organizaciones españolas, la Agencia Española de Supervisión de la IA (AESIA) es el organismo nacional competente para supervisar el cumplimiento.

Las empresas que usen sistemas de IA en RRHH, salud, educación, banca, seguros o infraestructuras críticas deben priorizar la evaluación de conformidad. El primer paso es clasificar sus sistemas de IA según el nivel de riesgo del AI Act y, si son de alto riesgo, completar la documentación requerida antes de que el enforcement se intensifique en el segundo semestre de 2026.